دوشنبه , 3 اردیبهشت 1397
صفحه اول » فضای سایبری » شناسایی باگ امنیتی مهم توسط کاربر تویتر در نسخه دسکتاپ پیام رسان داخلی سروش

شناسایی باگ امنیتی مهم توسط کاربر تویتر در نسخه دسکتاپ پیام رسان داخلی سروش

یکی از کاربران تویتر در پیامی آورده است :

سلام دوستان در قالب یک مجموعه توئیت میخوام به یه باگ امنیتی خیلی خیلی مهم تو نسخه دسکتاپ اشاره کنم که یه نفر میتونه با استفاده از این باگ به کل پیام ها و اطلاعات شما در این دسترسی پیدا کنه.

وقتی با نسخه دسکتاپ وارد اکانت سروشتون میشید نرم افزار سروش یه پوشه با محتویات اکانت شما و دیتابیس های خودش اعم از عکس پروفایل،ویس ها و… روی سیستم شما میسازه که وقتی شما میخواید سروش رو باز کنید اکانتتون رو از روی اون پوشه بخونه و اطلاعاتتون رو روی نرم افزار بارگزاری کنه.

با تستی انجام دادم روی این پیام رسان؛ من با نسخه دسکتاپ وارد اکانتم شدم، اون پوشه سروش رو کپی کردم و بردم روی یک سیستم دیگه و پوشه رو جایگذاری کردم و دور از انتظار هم نبود که اکانت من روی اون سیستم باز شد، اما بعد از ۲۰ ثانیه از اکانت خارج شد و اکانت من رو روی اون سیستم جدید بست.

با این حال دوباره برگشتم روی سیستم خودم و فایل های پوشه سروش رو با نت پد(ساده ترین نرم افزار ویرایش متن) باز کردم و با کمال تعجب دیدم که فایل ها باز شدن و قابل خوندن بودن و هیچگونه رمزگذاری نداشتن که برعکس در تلگرام این فایلها کاملا رمز گذاری شده هستن.

بخصوص این فایل لاک(قفل) که اسم سیستم رو مینویسه و نگه میداره و از همین طریق متوجه میشه که پوشه data سروش جابجا شده، یعنی اول نرم افزار اسم سیستم رو میگیره و با مال خودش مقایسه میکنه واگه با هم فرق داشتن اکانت سروش رو میبنده.

حالا اگه ما بعد از جابجایی با نت پد این فایل رو ویرایش کنیم و اسم سیستم جدید رو بنویسیم چه اتفاقی میوفته؟..

خب این فاجعه چه تاثیری داره؟ اگه یه آدم عادی(نه صرفا هکر)اون پوشه رو برداره و به سیستم خودش انتقال بده،با جایگزین کردن و یسری تغییرات میتونه اکانت قربانی رو روی سیستم خودش بیاره توجه داشته باشین که بعد از اینکه با این روش وارد اکانت شخص بشید هیچ نوتیفکیشنی برای فرد قربانی نمیره!

ما تلاش کسی رو زیر سوال نمیبریم ولی وقتی چیزی مینویسید یا میسازید فکر کنید که قراره تاپ باشه و اول از همه یه حلقه داخلی بذارید مجموعه ای از تستر ها و دیباگِر ها که این مشکلات قبل از توزیع عمومی پیدا نشه که باعث بی اعتمادی به شما بشه.

لازم به یادآوری است ، این مشکل امنیتی در تویتر توسط این کاربر برای وزیر ارتباطات و فن آوری ارسال شده است.